RPX公司藉買進大量專利之策略，避開Patent trolls 1 之威脅

論科學資料之開放與共享—以美國國家衛生研究院之資料政策為核心 資訊工業策進會科技法律研究所 蔡立亭 2020年12月25日 　　科學研究以提升全人類之福祉為本，醫療健康研究資料的共享，有助於促進整體科學研究的量能。為促進由政府支持之科學資料與研究發現的近用，美國政府原則上肯定科學之發展與資料之留存、近用相關，資料之公開不僅應遵守法律之限制，尚應注意資料之生命週期，並訂定時限；受政府資助之研究，所產出之資料以免費近用為原則，政府之政策亦應考量國際合作之實際情況[1]。申言之，科學研究資料的近用，有助於提升科學發展，政府於制定共享政策的同時，亦應一併考量國際合作的情況，並以免費近用為原則，研議資料公開策略。 　　為增進科學資料的效益，美國國家衛生研究院（National Institutes of Health，簡稱NIH）設置科學政策辦公室（Office of Science Policy，簡稱OSP）制定完整的政策，領域擴及生物安全、基因檢測、基因資料共享、人類受試者保護、NIH的組織與管理，和受NIH資助研究的成果與價值；藉由廣泛的分析與報告，提出新興政策建議[2]。在科學資料共享的層面，NIH聚焦於「基因與健康」和「科學資料管理」，生物醫學研究的進展，取決於科學資料的近用；共享科學資料，有助於驗證研究結果，研究者整合資料以強化分析，提升難以生成資料的再次應用，加速研究進展[3]。NIH藉由資料的管理，促進科學資料的近用，以驗證並共享研究成果。 　　為輔助資料之開放共享，NIH公告資料管理與共享政策（NIH Policy for Data Management and Sharing，以下簡稱DMS政策），目的為促進由NIH資助或進行研究的科學資料共享[4]。DMS政策將科學資料定義為：「在科學社群普遍接受記錄事實的素材，研究發現能反覆的驗證，不論該資料是否用以支持學術出版物。科學資料並不包含實驗室筆記、初步分析、完整的個案報告表、科學報告的草稿、未來的研究計畫、同儕評論、與同事的溝通、物理實體，例如實驗室標本[5]。」。換言之，並非僅以該資料是否能佐證學術出版物為科學資料之認定基準，而係以該科學資料是否屬事實之記載，和研究成果能否反覆驗證為判斷。 　　另，NIH、NIH研究院、中心、辦公室已有資料預期的共享，如：科學資料的共享、相關標準、資料庫的選擇、時限，適用並於計畫中呈現；若不適用則研究員應在計畫中提出資料共享與管理的方式，NIH並建議資料的管理與共享應實踐FAIR（Findable、Accessible、Interoperable、Reusable）原則，共享的資料類型，首先為一般性的描述、估計在研究中生成或使用的科學資料，次為列出後設資料等有助於解釋科學資料的文件；NIH鼓勵科學資料盡快共享，不遲於資料的出版或執行期間[6]。申言之，即使各該研究計畫不適合既有的共享策略，於計畫提案時，研究團隊仍應研擬適合共享與管理的方式，並以FAIR原則為依準。 　　研究團隊提供的科學研究資料，將儲存於由政策或資助方指定的資料庫。NIH提出推薦的資料庫列表[7]，並描述理想的儲存資料庫特色為：「具有獨特且永久的識別碼、具有長期持續管理資料的計畫、設置後設資料、整理資料並保證品質、免費並簡易的近用、廣泛且可估計的重複使用、明確的使用指引、安全性與完整性、機密性、共通格式、引用機制，及資料保留策略[8]」。由此觀之，資料庫的設計應易於科學資料的檢索；並在資料的近用上，維護資料之安全、完整、機密等。 　　NIH共享資料之實際應用上，為共享基因研究資料，NIH於2014年提出基因資料共享政策（Genomic Data Sharing Policy，以下簡稱GDS政策），包含NIH資助指南與契約；NIH的GDS政策適用於所有NIH資助的研究，生成之大規模人類或非人類之基因資料，將應用於後續的研究[9]。藉此能有效率的推動基因研究向前邁進。 　　GDS政策課予研究者提供基因資料的義務；研究者近用基因資料，亦應遵守基於研究使用控制近用資料（Controlled-Access Data）的條款[10]。研究人員受NIH核准後，方能將NIH控制近用的資料，應用於第二次研究（secondary research）[11]。由NIH資料近用委員會（Data Access Committee）審查，研究員近用資料並須遵守基於研究使用控制近用資料的條款[12]。另，基因摘要結果（Genomic Summary Results，以下簡稱GSR）隸屬於NIH政策[13]，並依據GDS政策目的，將GSR定義為由研究者提供的摘要統計（summary statistics），非敏感性的資料列入NIH指定的資料庫中[14]。換言之，NIH以對控制近用資料的應用核准，在資料之限制近用與科學發展間，取得平衡。 　　為回應COVID-19，加速治療與疫苗的研發，NIH的資料共享與管理政策，緩解全球科學社群開放共享科學資料的需求，該政策並建立資料共享為研究過程的基礎成分[15]。綜上所論，將資料共享內化於研究過程中，有助於全球同步更新研究的進程，共同面對全人類之科學挑戰。 [1] NATIONAL SCIENCE AND TECHNOLOGY COUNCIL, COMMITTEE ON SCIENCE, SUBCOMMITEE ON INTERNATIONAL ISSUES, INTERAGENCY WORKING GROUP ON OPEN DATA SHARING POLICY, Principles For Promoting Access To Federal Government-Supported Scientific Data And Research Findings Through International Scientific Cooperation (2016), 1, 整理自Principles, at 5-8, https://obamawhitehouse.archives.gov/sites/default/files/microsites/ostp/NSTC/iwgodsp_principles_0.pdf (last visited December 14, 2020). [2]About Us, Welcome to NIH Office of Science Policy, NIH National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/about-us/ (last visited December 7, 2020). [3]NIH Data Management and Sharing Activities Related to Public Access and Open Science, NIH National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/scientific-sharing/nih-data-management-and-sharing-activities-related-to-public-access-and-open-science/ (last visited December 10, 2020). [4]Final NIH Policy for Data Management and Sharing, NIH National Institutes of Health Office of Extramural Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-013.html (last visited December 11, 2020). [5]Final NIH Policy for Data Management and Sharing, NIH National Institutes of Health Office of Extramural Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-013.html (last visited December 12, 2020). [6]Supplemental Information to the NIH Policy for Data Management and Sharing: Elements of an NIH Data Management and Sharing Plan, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-014.html (last visited December 13, 2020). [7]資料庫列表請參見以下網址：Open Domain-Specific Data Sharing Repositories, NIH National Library of Medicine, https://www.nlm.nih.gov/NIHbmic/domain_specific_repositories.html (last visited December 24, 2020). [8]Supplemental Information to the NIH Policy for Data Management and Sharing: Selecting a Repository for Data Resulting from NIH-Supported Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-016.html (last visited December 13, 2020). [9]NIH Genomic Data Sharing, National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/scientific-sharing/genomic-data-sharing/ (last visited December 15, 2020). [10]NIH Genomic Data Sharing Policy, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-14-124.html (last visited December 17, 2020). [11]NIH Genomic Data Sharing Policy, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-14-124.html (last visited December 17, 2020). [12]id. [13]NIH National Institutes of Health Turning Discovery into Health, Responsible Use of Human Genomic Data An Informational Resource, 1, at 6, https://osp.od.nih.gov/wp-content/uploads/Responsible_Use_of_Human_Genomic_Data_Informational_Resource.pdf (last visited December 17, 2020). [14]Update to NIH Management of Genomic Summary Results Access, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-19-023.html (last visited December 17, 2020). [15]Francis S. Collins, Statement on Final NIH Policy for Data Management and Sharing, National Institutes of Health Turning Discovery Into Health, https://www.nih.gov/about-nih/who-we-are/nih-director/statements/statement-final-nih-policy-data-management-sharing (last visited December 14, 2020).

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。

　　美國國際貿易委員會(United States International Trade Commission)最新公布一份報告指出，中國大陸對於侵害智慧財產權（中國大陸稱知識產權）的立法與執法不力，在中國市場降低了美國企業的獲利能力，例如產品被非法與低成本的仿冒。 　　報告指出，中國大陸因為重大的結構性與體制性障礙，妨礙了對智慧財產權侵害的執法效果，包括地方政府對侵害企業的保護，各政府單位間缺乏協調，執法的資源與人員訓練不足，相關的民刑事法令也缺乏嚇阻效果。 　　由於中國大陸對智慧財產權侵害的執法不力，助長中國境內廣泛的侵害美國公司的商標、專利、營業秘密等權利，對於許多美國公司，特別是小公司而言，智慧財產權是重要資產，但缺乏在中國境內保護自己智慧財產權的資源。 　　報告還指出，在2009年所有美國海關扣押貨物的案件中，來自中國大陸佔79％，來自香港佔10％，整體金額達到2.047億美元。中國大陸有24萬家網咖，使用非法軟體。中國大陸的產品與商標仿冒問題仍十分常見，就算是支付權利金，與其他國家比較，中國大陸所支付的智慧財產權利金僅是一小部分。